Moin,
ich hab grad bei einem unserer Firmenrechner eine schicke Search Site drin gehabt, folgendes Verfahren hat sich bewährt:
1. Bei Win 2000 und Win XP Systemwiederherstellung deaktivieren
2. Im Windowsverzeichnis in den System Ordner wechseln und nach Datum sortieren. Es sollten dann einige Dateien mit dem gleichen Datum(Tag der Infizierung) recht weit oben erscheinen, bei mir waren es 3 Stück.
3. Die Dateien mit einer weiteren Endung(z.B. .vir) versehen. Wenn es nicht geht erst Schritt 4 und 5 ausführen.
4. Die Registry mit regedit(oder regedit32) öffnen und als allererstes eine komplette Sicherung machen(Datei-> Registrierung komplett exportieren)
5. Nach den DLL Dateien mit der Suchfunktion suchen. Jeweils den Schlüssel löschen. Solange mit F3 weitersuchen bis kein Ergebnis mehr erscheint. Das Verfahren mit allen einzeln ausführen.
6. Neu Starten, jetzt sollten sich auch die Dateien umbenennen lassen die vorher blockiert waren.
7. Neu Starten, jetzt sollte alles wieder in Butter sein. Wenn das der Fall ist die umbenannten Dateien löschen und die Systemwiederherstellung wieder aktivieren.
Vorsicht! Wenn man am selben Tag Treiber oder Hardware installiert hat kann es sein das dort vom System benötigte Dateien mit diesem Datum liegen.
Wenn man sich unsicher ist, am Besten jemanden nerven der sich ein wenig mit Windows auskennt. Bei weiteren Fragen am besten Mail schreiben, gucke selten in solche Foren.